邱实：认知网络数据及其合规性之探讨

点击：  作者：邱实    来源：昆仑策网【原创】  发布时间:2018-05-22 18:21:56

 

 

 

　　在以互联网为标志的信息化时代，传统数据在形式和内容的表达以及交流和传递的方式都发生了质与量的变化。网络数据对社会形态产生重大影响，对社会发展形成巨大动力。

 

　　对网络数据，不论是从法律和司法，或是技术和应用的角度，都必须要有明确、清晰的定义，以及对合规性有广泛的共识。否则，对网络数据的研究难以避免缺少“共同语言”、缺失“治理   边界”、缺欠“对话基础”。

 

　　什么是网络数据？

 

　　简单地说，网络数据是以规范化数值或字符集合的方式，提供事实、概念或指令的表示形式,并通过网络传输、交换、存储和共享，适合于人工或自动方法处理的通信和解释。

 

　　网络数据的承载包括：元数据、内容、信息和情报。

 

　　图1 网络数据承载的一般分类

 

　　因此，感知和认知网络数据，既可以从不同角度、不同场景、不同方法、不同目的，而且所获取的知识也不是唯一的。但是，网络数据的合规性具有紧迫和重要的现实意义，参考国外的法律法规和术语定义，探讨如下。

 

　　一、前言

 

　　2012年2月，美国智库布鲁金斯学会（Brookings）在题为《网络安全与美中关系》的报告中，就术语和议题框架的重要性指出：“任何一个登上国际议程的新议题，即使费时费力，都必须发展出一套公认的词汇和概念。无论是贸易谈判还是核武器，这些问题的基本术语往往看起来简单，但要达成共识却非常困难。”该报告认为，“术语相异”对美中双方就行为规范或合作性实施机制达成共识产生巨大挑战。

 

　　2014年6月9日，美国国防部发布《专业术语和定义》，开篇引用了希腊哲学家、教育家苏格拉底的一句话：“智慧始于对术语的定义”。美国参谋长联席会议、美国国防部、美国国土   安全部、北约组织等近年来不断地修正和持续地更新网络以及信息战的字典和专用术语，发人深省。

 

　　二、网络数据驱动了“网络法律”

 

　　5月25日生效的欧盟《通用数据保护条例》GDPR，取代了1995年的数据保护指令，是迄今最为严格的个人数据保护法规。

 

　　GDPR重新定义和规定了网络数据中的“个人数据”为：“识别或可识别自然人有关的任何信息”。在GDPR法释（Recital）中的第26条进一步澄清“可识别”为：可以通过“一切合理和可能使用的手段”识别个人。这就是说，虽然可能不是由持有数据的企业主动地识别个人，但是如果数据可用于通过与其他数据源进行汇总来识别某个人，则该数据（或元数据）仍被视为个人数据。

 

　　GDPR还规定了个人身份识别不仅仅是个人姓名，还包括身份标识（ID），浏览器缓存（Cookie）、电子邮件（Email）地址、互联网协议（IP）地址、元数据（Metadata）等内容，以及对于数据泄露的报告和通报。

 

　　因此，可以认为，是网络数据驱动了GDPR“网络法律”，以保护网络数据中的个人数据及个人隐私和个人权利。

 

　　3月23日，美国《澄清境外数据合法使用法》（CLOUD）生效，授权美国执法部门可以调取互联网所涉在世界各地存储和管理的网络数据。CLOUD不仅修正了美国法典（U.S. Code）的第18章，而且与之前的相关法律法规互为依托、延伸。例如：

 

　　联邦贸易委员会法（FTCA）,消费者保护法，禁止不公平或欺骗行为，并应用于离线和在线隐私和数据安全政策。 

　　金融服务现代化法（FSMA）,规定金融信息的收集，    使用和披露。

　　健康保险流通与责任法（HIPAA），规定医疗信息的收集，    使用和披露。

　　公平信用报告法（FCRA），适用于使用消费者报告的机构（如贷款机构）和提供消费者报告信息的机构（如信用卡公司）。

　　电话用户保护法（TCPA），规范收集和使用电子邮件地址和电话号码。

　　电子通信隐私法（ECPA）和预防电脑欺诈和滥用法（CFAA），分别规范拦截电子通信和篡改计算机内容。

 

　　可见，由网络数据驱动的“网络法律”，所规范和适用的场景和范围不尽相同，但又存在法条的相互关联和参照的交叉法则（Two-Pronged Test）。因而，“网络法律”是跨领域的立法和司法程序，且需要不断地补充、修正和完善，包括术语的定义和解释。

 

　　三、网络数据之“术语”及其合规性

 

　　英文与中文都有多义词汇，其含义往往不仅需要结合上下文解释，而且还需要有专业的知识和实践的经验。尤其是，随着互联网的快速发展，某些关键的英文单词和词汇被重新标准化定义，修正或赋予专业的表达。

 

　　美国参谋长联席会议副主席詹姆斯·卡特赖特（James Cartwright）在发布网络空间战专用术语词典的备忘录中强调：网络领域的某些单词已不能够详细表述任务集的细微差别,专业词典是作为在所有与网络相关的文档、指令、作战理念和出版物中规范术语的起点。相关术语定义和解释的摘录如下：

 

　　1）数据（Data），以规范化数值或字符集合的方式，提供     事实、概念或指令的表示形式（适合人工或自动手段进行通信、解释或处理）。来源：美国国土安全部专业术语词典。

 

　　2）元数据（Metadata）,对具体数据段的描述及其所有关联属性的信息。(备注: 元数据表示资源的来源、特征、时间、地点、原因和方式。最为一般的解释是描述数据的数据。) 来源：美国国土安全部专业术语词典。

 

　　3）信息（Information），是可利用形式的数据，通常以有意图的方式进行处理，组织，结构化或呈现（人类赋予数据以使用的已知惯例的含义表示）。来源：美国国土安全部专业术语词典。

 

　　4）情报（Intelligence），分析和综合具有战术，行动或战略    价值的信息。来源：美国国土安全部专业术语词典。

 

　　5）数据元素（Data Element），（1）建立在标准结构上的基本信息单元，具有特定含义和不同单位或数值的。（2）在电子记录中，涉及具体的信息项目的字符或字节的组合，例如姓名，地址或年龄。来源：美国国防部专业术语词典。

 

　　6）信息环境（Information Environment），对信息收集、处理、传播或行动的个人、组织和系统的集合。来源：美国国防部专业术语词典。

 

　　7）‘网信’空间（Cyberspace），全球范围的信息环境（数字化信息通过计算机网络传递的概念环境）, 由相互依存的信息技术基础设施网络和存储数据组成, 包括互联网、电信网络、计算机系统以及嵌入式处理器和控制器，通过网络系统和相关的物理基础设施来存储，修改和交换数据。来源：美国国防部专业术语词典。

 

　　8）网络（Network），执行某一功能的信息交换或相互交互。来源：美国国土安全部专业术语词典。

 

　　9）互联网（Internet），可公开访问网站（Web）内容的网络。来源：美国国土安全部专业术语词典。

 

　　10）‘网际’或‘网信’（Cyber），与计算机文化特点相关的信息技术和虚拟现实。（来源：北约网络协同防务合作中心（CCDCOE）-牛津字典。）

 

　　参考专业术语定义以及网络和互联网的关系和现状，必须 定位和区分网络（Network）、互联网（Internet）、‘网际’（Cyber）：

 

　　图2 国际标准：‘网际’安全与其他安全领域的关联关系（来源：Guidelines for Cybersecurity，ISO/IEC27032，2012）

 

　　其中，网络（Network）一般指的是电信网络（或计算机网络、物理网络），而‘网际’（Cyber）既与网络（Network）有交集，且覆盖的范围更为宽泛。因此，Network和Cyber同译为“网络”    不仅造成概念混淆、混乱，而且缺失合规性（或成为“术语陷阱”）。

 

　　建议考虑：Cyber结合上下文译为“网际”或“网信”，以应对   “网络边界”的挑战，包括合规边界、管辖边界、治理边界：

 

　　1）弥补传统网络（Network）、互联网（Internet）、应用（App）之间存在的空白（缺失），定位和显现法律的合规边界；

 

　　2）Cyerspace，或译为“网信空间”，是由全球化的物理网络、   网络数据、网络行为的三个维度所组成（来源：美国参谋长联席会议的军事教义“信息战”，JP3-13，2012-11），而这个信息环境不可避免地存在主权的管辖边界。

 

　　3）网络数据的核心问题是数据保护，而基于网络数据的立法司法的多边对等执行直接涉及政策的治理边界。

 

　　四、网络数据之“数据”及其合规性

 

　　在网络环境中，数据与信息必须有效地差分（分类）和区分（聚类），“跨界内容删除”（Cross-Border Content Takedown）是目前国际社会正在热议的主题之一。

 

　　在网络应用中，数据不再仅仅局限于“记录”的过程和动作，而数据的多源和多元的涌现使得数据有了“生命力”（例如，脸书Facebook的数据泄露丑闻），“跨界访问用户数据”（Cross-Border Access to User Data）是目前国际社会正在研讨的另一主题。

 

　　图3 全球互联网及管辖政策网络的研讨主题（2016-2019）

 

　　事实上，网络数据对于传统意义的“客观性”和“工具性”，已经或正在发生颠覆性的变化。

 

　　1）从法律的角度，GDPR规定：

 

　　在存储或处理个人数据之前, 需要得到个人的有效认可。个人认可包括所收集的数据和将用于的目的，也包括营销和其他形式的通信交流。

　　任何处理欧盟内个人数据的公司应对数据负责, 数据的管理者与数据的处理者同责，而无论公司位于何处。

 

　　因而，GDPR强制（迫使）在数据属主（用户）、数据管理者和数据处理者之间形成了一种“非零和”的合作博弈。

 

　　2）网络数据的“客观性”之转基因

 

　　GDPR对规定“所有IP 地址应作为个人数据处理”的解释是：在动态IP 地址的情况下，个人每次连接到网络时IP地址都会发生了变化，但是网络服务提供商(ISP) 有一个暂时的动态IP 地址记录（日志）, 并知道IP 地址已被分配给谁。

 

　　虽然原始产生的网络数据是客观的，但是不可避免人为影响的介入，导致衍生或派生出新的网络数据（如习惯、喜好）；由于滥用、失窃、泄露就可能形成变异的网络数据（如模仿、克隆），使原有网络数据的真实性出现了“转基因”。例如，在机器学习领域中的一类模型：生成对抗网络，其目的和效果不仅超越了网络数据的客观性，而且还可能超越人们对现实的已知能力。

 

　　任何网络数据集合都是稀疏的，或“客观”网络数据存在局限性。

 

　　3）对网络数据的“工具性”之商榷

 

　　网络数据，不管是产生、应用和被利用，或是可以相互独立存在的集合体，都是由信息技术赋予其动态的“生命力”，并挖掘出其价值。曾几何时，网络数据被诟病为“信息孤岛”、“数字垃圾”，而并不具备任何“工具性”特征。一旦网络数据的“客观性”不复存在，其功能和作用就需要被重新审视。因此，为了认知网络数据、了解网络数据，需要理念、方法和技术能力的不断提升，包括：普适性的理论基础和阶段性的经验推断。例如：

 

　　香农（Shannon）定理给出，信道信息传送速率的上限（比特每秒）和信道信噪比及带宽的关系。香农定理可以解释现代各种无线制式由于带宽不同，所支持的单载波最大吞吐量的不同。

　　摩尔（Moore）定律提出，当价格不变时，集成电路上可容纳的元器件的数目，约每隔18-24个月便会增加一倍，性能也将提升一倍。

 

　　但是，摩尔定律不同于香农定理的严格证明，摩尔定律应该被认为是观测或推测，而不是一个自然或物理定理。

 

　　网络数据的“工具性”基于理论基础、先验和认知，以及合规。

 

　　五、归纳总结

 

　　网络数据驱动了“网络法律”，网络法律指的是跨边界、跨领域、跨学科、跨（业务）应用所形成多边的法律网络（Networking），以及适用于更为广泛的交叉法则（Two-Pronged Test），而司法  不再仅仅是依照于一个法规、或若干法条的解释。

 

　　网络数据所需的合规性（包括政策和策略以及多边和对等），首先需要有对专业术语的理解和共识，避免或缓解由于“术语  相异”而造成的“术语陷阱”。

 

　　网络数据存在的稀疏性，成为机器学习、数据挖掘等新技术的目标和聚焦点，需要理念、方法和技术能力的不断提升，尤其是加强对基础理论的研究和积累。

 

　　主权和管辖是有界的；治理和管理是有界的，但法律和司法是跨界的；技术和理论是跨界的；业务和应用是跨界的，因此对网络数据合规性的相关研究和认知必须明确地定义和定位边界。

 

　　（来源：昆仑策网【原创】）

 

 

 

---

　　【昆仑策研究院】作为综合性战略研究和咨询服务机构，遵循国家宪法和法律，秉持对国家、对社会、对客户负责，讲真话、讲实话的信条，追崇研究价值的客观性、公正性，旨在聚贤才、集民智、析实情、献明策，为实现中华民族伟大复兴的“中国梦”而奋斗。欢迎您积极参与和投稿。

　　电子邮箱：gy121302@163.com

　　更多文章请看《昆仑策网》，网址：

　　　　http://www.kunlunce.cn

　　　　http://www.kunlunce.com